Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Hoe toon je aan dat je voldoet aan de Cyberbeveiligingswet?

26 juni 2026

Je toont aan dat je voldoet aan de Cyberbeveiligingswet door concrete documentatie bij te houden van je beveiligingsmaatregelen, incidentprocedures en risicoanalyses, en door je tijdig te registreren in het nationale entiteitenregister. Naleving draait niet om het afvinken van een checklist, maar om het aantoonbaar maken dat je organisatie risico’s beheerst en continu verbetert. Dit artikel beantwoordt de meest gestelde vragen over wat naleving in de praktijk betekent, wie eronder valt en hoe je bewijs opbouwt.

Wat zijn de concrete nalevingsverplichtingen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet (CBW) legt organisaties drie hoofdverplichtingen op: een registratieplicht, een zorgplicht en een meldplicht. Samen vormen deze drie pijlers de basis van wat je als organisatie aantoonbaar moet regelen. De wet is per 1 juli 2026 van kracht en kent geen overgangstermijn, wat betekent dat alle verplichtingen direct gelden.

Registratieplicht: inschrijven in het entiteitenregister

Organisaties die onder de wet vallen, moeten zich registreren via mijn.ncsc.nl. Je geeft daarbij je contactgegevens op, de naam van de verantwoordelijke, een overzicht van je diensten en een lijst van internetdomeinen. De registratie zelf duurt circa tien minuten als je de gegevens vooraf verzamelt. Uitstel is geen optie: de wet geldt zodra zij in werking treedt.

Zorgplicht: passende technische en organisatorische maatregelen

De zorgplicht verplicht je om maatregelen te nemen die proportioneel zijn aan het risicoprofiel, de sector en de omvang van je organisatie. Er bestaat geen vaste checklist. Artikel 21 van NIS2 beschrijft tien concrete maatregelcategorieën, van risicoanalyse en incidentafhandeling tot toegangsbeheer en cryptografie. Wat telt, is dat je kunt laten zien dat je bewuste keuzes hebt gemaakt op basis van een gedocumenteerde risicoafweging.

Meldplicht: getrapte rapportage bij significante incidenten

Bij een significant incident geldt een strikte tijdlijn. Binnen 24 uur dien je een vroegtijdige waarschuwing in bij het CSIRT en de toezichthouder. Binnen 72 uur volgt een formele incidentmelding met informatie over ernst en gevolgen. Binnen één maand lever je een eindrapport met een volledige analyse en de genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.

Welke organisaties moeten voldoen aan de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt direct voor organisaties die actief zijn in één van de 18 aangewezen sectoren én voldoen aan de omvangsdrempel: minimaal 50 medewerkers of meer dan 10 miljoen euro omzet. Naast deze directe scope bestaat er een indirecte scope via ketenverantwoordelijkheid, die naar schatting 50.000 tot 100.000 extra MKB-bedrijven in Nederland raakt.

De 18 sectoren zijn verdeeld in twee bijlagen. Bijlage I omvat de zogeheten essentiële sectoren: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), overheidsdiensten en ruimtevaart. Bijlage II telt de belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsmiddelenindustrie, maakindustrie, digitale dienstverleners en onderzoek.

Ongeacht hun omvang vallen altijd onder de wet: aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, DNS-dienstverleners, TLD-registers en alle overheidsorganisaties, inclusief alle 340+ Nederlandse gemeenten.

Voor MKB-bedrijven is het belangrijk te begrijpen dat er drie groepen bestaan. Groep 1 is direct verplicht. Groep 2 valt onder de indirecte scope: je bent formeel niet NIS2-plichtig, maar je klanten zijn dat wel en zij zijn verplicht hun leveranciers te screenen op beveiligingseisen. Groep 3 wordt via de markt gedwongen: cyberverzekeraars en aanbestedingen vragen steeds vaker om bewijs van cybersecuritymaatregelen, ook zonder wettelijke verplichting.


Hi, how are you doing?
Can I ask you something?
Hallo! Ik zie dat je je verdiept in de Cyberbeveiligingswet. Veel MKB-bedrijven worstelen op dit moment met dezelfde vraag: wat moeten wij nu eigenlijk concreet regelen vóór 1 juli 2026? Wat beschrijft jouw situatie het beste?
Dat herkennen we. Veel bedrijven hebben al maatregelen getroffen, maar kunnen dit nog niet aantoonbaar maken richting een toezichthouder of klant. Hoe staat jullie organisatie er nu voor?
Goed dat je dit nu uitzoekt — de wet kent geen overgangstermijn en geldt direct vanaf 1 juli 2026. Twee snelle vragen helpen me je de juiste richting op te wijzen. Hoeveel medewerkers heeft jullie organisatie ongeveer?
Op basis van wat je hebt aangegeven kan NTNT je helpen met een vrijblijvende NIS2-readiness scan — zodat je precies weet waar je organisatie nu staat en wat er nog geregeld moet worden. Laat je gegevens achter en een van onze specialisten neemt contact met je op.
Bedankt! Jouw gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om jouw situatie rond de Cyberbeveiligingswet te bespreken. We kijken ernaar uit je te helpen.
Met meer dan 25 jaar ervaring in IT voor het MKB weten we precies wat er nodig is om aantoonbaar compliant te worden — zonder onnodige complexiteit.

Hoe documenteer je beveiligingsmaatregelen als bewijs van naleving?

Je documenteert beveiligingsmaatregelen als bewijs van naleving door voor elk van de tien maatregelcategorieën uit Artikel 21 schriftelijk vast te leggen wat je doet, waarom je dat doet en hoe je de effectiviteit bewaakt. Documentatie is het bewijs dat jouw organisatie bewuste, proportionele keuzes heeft gemaakt. Zonder documentatie bestaat een maatregel juridisch gezien niet.

Concreet betekent dit dat je voor elke categorie een set documenten opbouwt. Voor risicoanalyse en informatiebeveiligingsbeleid heb je een jaarlijks bijgewerkte risicoanalyse nodig en een door het bestuur goedgekeurd cybersecuritybeleid voor jouw organisatie, bij voorkeur ingebed in een ISMS (Information Security Management System). Voor bedrijfscontinuïteit leg je back-up- en herstelprocessen vast, inclusief gedocumenteerde RTO (Recovery Time Objective) en RPO (Recovery Point Objective), en toon je aan dat je herstelprocessen regelmatig test.

Een praktisch startpunt is het opbouwen van een zogenaamd evidence pack: een geordende verzameling van beleidsdocumenten, testresultaten, trainingsregisters, auditrapportages en contracten met leveranciers. Denk aan:

  • Een gedocumenteerde risicoanalyse, jaarlijks herzien en ondertekend door het bestuur
  • Een schriftelijk incident response plan met heldere rolverdeling en bewijs van oefening via tabletop exercises
  • Trainingsregisters die aantonen dat alle medewerkers beveiligingstraining hebben gevolgd
  • Penetratietestrapportages en KPI’s voor cybersecurity
  • Een vastgelegd encryptiebeleid, inclusief sleutelbeheer
  • Bewijs van MFA-implementatie voor externe toegang en beheerdersaccounts, bijvoorbeeld via Cisco Duo
  • Contractueel vastgelegde beveiligingseisen richting leveranciers

Een veelgemaakte fout bij MKB-bedrijven is dat maatregelen feitelijk al bestaan, maar nergens schriftelijk zijn vastgelegd. De toezichthouder kan alleen beoordelen wat je kunt laten zien. Zorg er daarom voor dat ook bestaande praktijken worden gedocumenteerd.

Wat moet er in een incidentrapportage staan voor de toezichthouder?

Een incidentrapportage voor de toezichthouder volgt een drietrapstructuur: een vroegtijdige waarschuwing binnen 24 uur, een formele incidentmelding binnen 72 uur en een eindrapport binnen één maand. Elk document heeft een eigen vereiste inhoud en een eigen doel.

De vroegtijdige waarschuwing binnen 24 uur is bewust beknopt. Je meldt dat er een significant incident heeft plaatsgevonden, wat de aard van het incident is en of je vermoedt dat het om een gerichte aanval gaat of een grensoverschrijdend effect heeft. Details zijn op dit moment niet vereist; het gaat erom dat de toezichthouder direct op de hoogte is.

De formele incidentmelding binnen 72 uur gaat dieper. Hierin beschrijf je de ernst van het incident, de getroffen systemen en diensten, de (vermoedelijke) oorzaak, de gevolgen voor andere organisaties of sectoren en de maatregelen die je al hebt genomen. Dit is het document dat de toezichthouder gebruikt om te beoordelen of aanvullende actie nodig is.

Het eindrapport binnen één maand is de meest uitgebreide rapportage. Daarin leg je een volledige analyse neer: wat is er precies gebeurd, wat was de grondoorzaak, wat waren de gevolgen, welke maatregelen heb je getroffen om herhaling te voorkomen en welke lessen heb je getrokken? Dit rapport vormt ook de basis voor interne verbetering van je incident response plan.

Praktisch advies: bereid sjablonen voor alle drie de documenten voor, zodat je onder tijdsdruk snel en volledig kunt rapporteren. Leg ook vast wie in jouw organisatie verantwoordelijk is voor het indienen van elke melding.

Hoe toets je of je IT-leveranciers ook voldoen aan de wet?

Je toetst of IT-leveranciers voldoen aan de Cyberbeveiligingswet door hun beveiligingsmaatregelen contractueel vast te leggen, jaarlijks te controleren en bij kritieke leveranciers actief bewijs op te vragen. Supply chain security is een van de tien verplichte maatregelcategorieën onder Artikel 21, wat betekent dat jij als organisatie aantoonbaar verantwoordelijk bent voor de beveiliging in je keten.

Begin met een inventarisatie van al je leveranciers en maak onderscheid tussen kritieke en niet-kritieke leveranciers. Kritieke leveranciers zijn partijen waarvan een uitval of datalek direct impact heeft op jouw dienstverlening of bedrijfscontinuïteit. Voor deze groep gelden de strengste eisen.

Concrete stappen om leveranciersbeveiliging te toetsen:

  • Stel een beveiligingsvragenlijst op die leveranciers verplicht invullen, gericht op hun technische maatregelen, incidentprocedures en certificeringen
  • Leg beveiligingseisen contractueel vast, inclusief het recht op audit en de verplichting om incidenten te melden
  • Voer jaarlijkse controles uit bij kritieke leveranciers, waarbij je bewijs opvraagt van naleving, zoals ISO 27001-certificering of penetratietestrapportages
  • Documenteer de uitkomsten van elke beoordeling, zodat je bij een audit kunt aantonen dat je actief toezicht houdt op je keten

Houd er rekening mee dat ook jij als leverancier van NIS2-plichtige organisaties via deze route beveiligingsvragenlijsten en contractuele eisen kunt ontvangen. Supply chain security werkt in twee richtingen.

Welke rol speelt een externe IT-partner bij het aantonen van naleving?

Een externe IT-partner helpt je bij het aantonen van naleving door de technische maatregelen te implementeren, de benodigde documentatie op te bouwen en als aantoonbaar verantwoordelijke partij op te treden bij audits. Voor MKB-bedrijven zonder interne IT-afdeling is een externe partner vaak de meest praktische route om snel en volledig compliant te worden.

Wat een goede externe IT-partner concreet bijdraagt aan jouw nalevingsdossier:

  • Het uitvoeren en documenteren van risicoanalyses die voldoen aan de eisen van Artikel 21
  • Het implementeren en beheren van technische maatregelen zoals MFA via Cisco Duo, EDR via Huntress en encryptie van apparaten en back-ups
  • Het opzetten van een incident response plan inclusief rolverdeling en oefenscenario’s
  • Het verzorgen van beveiligingstraining voor medewerkers en bewustwordingsprogramma’s
  • Het bijhouden van een evidence pack met alle relevante documentatie voor de toezichthouder
  • Het screenen van leveranciers en het opstellen van contractuele beveiligingseisen

Een belangrijk aandachtspunt: ook als je IT volledig uitbesteedt, blijft de juridische verantwoordelijkheid bij jouw organisatie en bij het bestuur. Uitbesteding ontslaat je niet van aansprakelijkheid. Zorg er daarom voor dat je met je IT-partner heldere afspraken maakt over wie welk deel van het nalevingsdossier beheert en bijhoudt.

Wat gebeurt er als je niet kunt aantonen dat je voldoet?

Als je niet kunt aantonen dat je voldoet aan de Cyberbeveiligingswet, riskeer je boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, en kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. De wet hanteert geen gedoogperiode: zodra de CBW op 1 juli 2026 in werking treedt, gelden alle verplichtingen direct.

De gevolgen zijn niet alleen financieel. Bij grove nalatigheid kan een bestuurder persoonlijk worden beboet, juridische procedures tegemoet zien of reputatieschade oplopen. In uiterste gevallen is tijdelijke schorsing als verantwoordelijke mogelijk. Dit is een fundamenteel verschil met de AVG, waarbij primair de organisatie wordt beboet. Onder de Cyberbeveiligingswet kan het de individuele bestuurder zijn die de rekening gepresenteerd krijgt.

Bestuurders zijn bovendien verplicht aantoonbaar training te hebben gevolgd om cyberrisico’s te kunnen beoordelen. Onwetendheid is geen excuus en vormt geen juridische verdediging. Het beveiligingsbeleid moet door het bestuur zijn goedgekeurd, en de directie moet aantoonbaar betrokken zijn bij incidentrespons en risicobeoordeling.

Naast de directe juridische gevolgen zijn er ook indirecte risico’s. Organisaties die niet kunnen aantonen dat zij voldoen, lopen het risico uitgesloten te worden van aanbestedingen, hogere premies te betalen bij cyberverzekeraars of klanten te verliezen die zelf NIS2-plichtig zijn en hun leveranciers moeten screenen.

Hoe wij helpen met naleving van de Cyberbeveiligingswet

Bij NTNT begrijpen we dat naleving van de Cyberbeveiligingswet voor veel MKB-bedrijven een forse opgave is, zeker als er geen interne IT-afdeling is. Wij helpen je om niet alleen de technische maatregelen te implementeren, maar ook het bijbehorende nalevingsdossier op te bouwen dat je bij een audit kunt overleggen.

Wat we voor je regelen:

  • Een gedocumenteerde risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid
  • Implementatie van MFA via Cisco Duo voor alle externe toegang en beheerdersaccounts
  • Endpoint Detection & Response via Huntress op alle apparaten, inclusief SIEM-logging
  • Beveiligingstraining en phishing-simulaties voor medewerkers via ons awareness programma
  • Beheer van back-up- en herstelprocessen met gedocumenteerde RTO en RPO
  • Ondersteuning bij leveranciersbeoordeling en contractuele beveiligingseisen
  • Opbouw van een volledig evidence pack dat aantoont dat je voldoet aan Artikel 21

Wil je weten waar je organisatie nu staat en wat er nog geregeld moet worden voor 1 juli 2026? Neem contact op met NTNT voor een vrijblijvende NIS2-readiness scan.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.